Änderungen

 * Zur Einwahl eines iPhone 7 über eine IPSec-VPN-Verbindung mit IKEv1 soll eine bintec elmeg be.IP plus passend konfiguriert werden. <br />* Im Beispiel werden ein iPhone 7 mit Version 10.3.3 und eine bintec elmeg be.IP plus PBX mit Software-Version 10.1.27 Patch 3 verwendet. <br />* Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren. <br />* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen. <br />

Auf dem bintec Gerät soll von initial unkonfiguriertem IPSec ausgegangen werden (entspr. Auslieferungszustand). <br />

 Im vorliegenden Beispiel soll ein iPhone 7 mittels eines IPSec-Tunnels mit IKEv1 über das Internet mit dem LAN 10.10.10.0/24 des be.IP plus verbunden werden. <br />

 Das Anlegen des IP-Adress-Pools erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IP Pools" mit Klick auf "NEU". <br />

Bild 1: GUI-Menü der be.IP plus mit Konfiguration des IP-Adress-Pools <br />

 Das Anlegen des XAUTH-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "XAUTH-Profile" mit Klick auf "NEU". <br />

Bild 2: GUI-Menü der be.IP plus mit Konfiguration des XAUTH-Profils <br />

 Das Anlegen des IPSec-Peers mit IKEv1 erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU". <br />

Bild 3: GUI-Menü der be.IP plus mit Konfiguration des IPSec-Peers mit IKEv1  Achtung: <br />Bei "Peer-ID" muß der Typ "Schlüssel-ID" ausgewählt werden. Aus Sicherheitsgründen kommt es hier auf die exakten Schreibweisen von "ID" und "PSK" an, wobei der "Pre-shared Key" ganz besonders sicherheitsrelevant ist und möglichst lang bzw. kompliziert eingegeben werden sollte. Diese beiden Werte müssen natürlich auch im Apple iPhone 7 in geeigneter Weise hinterlegt sein.

Mit dem Klick auf "OK" werden die Profile Phase1 IKEv1 "Multi-Proposal" und Phase2 "Multi-Proposal" automatisch generiert (bei initial unkonfiguriertem IPSec - sonst passend neu anlegen), <br />aber dem IPSec-Peer noch nicht explizit zugewiesen. Außerdem ist auch noch das vorbereitete XAUTH-Profil auszuwählen und das Proxy-ARP zu aktivieren, da im Beispiel die IP-Pool-Adresse im <br />Bereich des LAN-IP-Subnetzes liegt. Im Beispielfall ist deshalb auch am LAN-Interface das Proxy-ARP zu aktivieren. <br />

Bild 4: Erweiterte Einstellungen in der IPSec-Peer-Konfiguration der be.IP plus mit der Zuweisung der Phase1-, Phase2- und XAUTH-Profile und der Aktivierung des Proxy-ARP <br />

 Die Anpassung des Profils Phase1 IKEv1 "Multi-Proposal" erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf das "Edit"-Symbol. <br />

Bild 5: GUI-Menü der be.IP plus mit der Anpassung des Profils Phase1 IKEv1 "Multi-Proposal" <br />

Dazu die Erweiterten Einstellungen:

Bild 6: GUI-Menü der be.IP plus mit den Erweiterte Einstellungen des Profils Phase1 IKEv1 "Multi-Proposal" <br />

 Die Anpassung des Profils Phase2 "Multi-Proposal" erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf das "Edit"-Symbol. <br />

Bild 7: GUI-Menü der be.IP plus mit der Anpassung des Profils Phase2 "Multi-Proposal" <br />

Dazu die Erweiterten Einstellungen:

Bild 8: GUI-Menü der be.IP plus mit den Erweiterte Einstellungen des Profils Phase2 "Multi-Proposal" <br />

Bild 9: Konfigurationsmenü des iPhone 7 mit den Einstellungen der VPN-IPSec-Verbindung <br />

Bild 10: Anzeige der aktiven VPN-IPSec-Verbindung im iPhone 7 <br />

 <PREpre>be.ip_plus_ks:> debug all&

16:30:46 DEBUG/INET: NAT: new incoming session on ifc 30010001 prot 17 93.206.212.230:4500/93.206.212.230:4500 <- 89.204.130.7:36733163673316:30:46 DEBUG/IPSEC: P1: peer 1 (Tunnel_iPhone7) sa 27 (R): [Aggr] NAT-T: port change: local: 93.206.212.230:500->93.206.212.230:4500, remote: 89.204.130.7:36002->89.204.130.7:36733

</PREpre>

kst, bst <br />